Comprensión AWS Audit Manager conceptos y terminología

Evaluaciones

Recopile evidencias relevantes para las auditorías automáticamente con las evaluaciones de Audit Manager.

Las evaluaciones se basan en marcos, es decir agrupaciones de controles relacionados con las auditorías. Puede crear una evaluación a partir de un marco estándar o personalizado. Los marcos estándar contienen conjuntos de controles prediseñados que con arreglo a una norma o reglamento de cumplimiento específico. Por el contrario, los marcos personalizados contienen controles que puede personalizar y agrupar de acuerdo con sus requisitos de auditoría específicos. Si utiliza un marco como punto de partida, puede crear una evaluación que especifique las Cuentas de AWS que desee incluir en el alcance de la auditoría.

Al crear una evaluación, Audit Manager comienza automáticamente a evaluar los recursos de su Cuentas de AWS en función de los controles que se definen en el marco. A continuación, recopila las evidencias relevantes y las convierte a un formato fácil de usar para los auditores. Una vez hecho esto, agrega las evidencias a los controles de evaluación. Cuando llegue el momento de realizar una auditoría, usted (o la persona que designe) puede revisar las pruebas recopiladas y, a continuación, añadirlas a un informe de evaluación. Este informe de evaluación le ayuda a demostrar que sus controles funcionan según lo previsto.

La recopilación de evidencias es un proceso continuo que comienza cuando se crea la evaluación. Puede detener la recopilación de evidencias, o bien cambiando el estado de la evaluación a inactiva, o bien en el nivel de control. Para ello, puede cambiar el estado de un control de su evaluación en concreto a inactivo.

Para obtener instrucciones acerca de cómo crear y administrar las evaluaciones, consulte Gestión de las evaluaciones en AWS Audit Manager.

Informes de evaluación

Los informes de evaluación son documentos finalizados que se generan a partir de una evaluación de Audit Manager. Estos informes resumen las evidencias relevantes recopilada para la auditoría, y están enlazados con las carpetas de evidencias pertinentes. Estas carpetas se nombran y organizan de acuerdo con los controles que se especifican en cada evaluación. Puede revisar qué evidencias recopila Audit Manager para cada evaluación y decidir cuáles desea incluir en el informe de evaluación.

Para más información acerca de estos informes, consulte Informes de evaluación. Para información sobre cómo generar un informe de evaluación, consulte Preparar un informe de evaluación en AWS Audit Manager.

Destino de los informes de evaluación

El destino de los informes de evaluación es el bucket S3 predeterminado en el que Audit Manager guarda los informes de evaluación. Para obtener más información, consulte Configurar el destino predeterminado del informe de evaluación.

Auditoría

Las auditorías son exámenes independientes de los activos, las operaciones o la integridad empresarial de su organización. Las auditorías de tecnología de la información (TI) examinan específicamente los controles de los sistemas de información de su organización. El objetivo de estas auditorías es determinar si los sistemas de información protegen los activos, funcionan de manera eficaz y mantienen la integridad de los datos. Todo esto es importante para cumplir con los requisitos reglamentarios exigidos por las normas o reglamentos de cumplimiento.

Responsable de la auditoría

El término responsable de la auditoría tiene dos significados diferentes según el contexto.

En el contexto de Audit Manager, el responsable de una auditoría es un usuario o rol que gestiona una evaluación y sus recursos relacionados. Se encarga de la creación de evaluaciones, la revisión de las evidencias y la generación de informes de evaluación. Audit Manager es un servicio colaborativo y los responsables de auditorías se benefician cuando otras partes interesadas participan en sus evaluaciones. Por ejemplo, puede añadir a otros responsables de la auditoría a su evaluación para compartir las tareas de administración. Además, si es responsable de una auditoría y necesita ayuda para interpretar las evidencias recopiladas para un control, puede delegar ese conjunto de controles a otra parte interesada que tenga experiencia en la materia. En ese caso, la persona se conoce como persona delegada.

En términos comerciales, el responsable de una auditoría es quien coordina y supervisa las iniciativas de preparación para la auditoría de su empresa y presenta las evidencias al auditor. Por lo general, se trata de un profesional de la gobernanza, el riesgo y el cumplimiento (GRC), como un responsable de cumplimiento o un responsable de protección de GDPR datos. GRClos profesionales tienen la experiencia y la autoridad para gestionar la preparación de las auditorías. Más específicamente, comprenden los requisitos de cumplimiento y pueden analizar, interpretar y preparar los datos de los informes. Sin embargo, otras funciones empresariales también pueden asumir la personalidad de Audit Manager del propietario de una auditoría; no solo GRC los profesionales asumen esta función. Por ejemplo, puede optar por que un experto técnico de uno de los siguientes equipos configure y gestione las evaluaciones de Audit Manager:

SecOps
TI/ DevOps
Centro de operaciones de seguridad/respuesta a incidentes
Equipos similares que poseen, desarrollan, corrigen e implementan activos en la nube y comprenden la infraestructura de nube de su organización

La persona elegida como responsable de la auditoría en su evaluación de Audit Manager dependerá en gran medida de su organización y también de cómo se estructuren las operaciones de seguridad y de las características específicas de la auditoría. En Audit Manager, una misma persona puede asumir el rol de responsable de la auditoría en una evaluación y, el de delegado, en otra.

Independientemente de cómo elija utilizar Audit Manager, puede gestionar la separación de funciones en toda su organización utilizando la personalidad de propietario o delegado de la auditoría y otorgando IAM políticas específicas a cada usuario. Mediante este enfoque de dos pasos, Audit Manager garantiza que usted tenga el control total sobre todos los aspectos específicos de cada evaluación. Para obtener más información, consulte Políticas recomendadas para los usuarios de AWS Audit Manager.

AWS fuente gestionada

Un registro AWS la fuente gestionada es una fuente de evidencia que AWS mantiene para ti.

Cada uno AWS La fuente gestionada es una agrupación predefinida de fuentes de datos que se asigna a un control común o control central específico. Cuando se utiliza un control común como fuente de pruebas, se recopilan automáticamente las pruebas de todos los controles principales que respaldan ese control común. También puede utilizar los controles básicos individuales como fuente de pruebas.

Siempre que un AWS se actualiza una fuente gestionada, las mismas actualizaciones se aplican automáticamente a todos los controles personalizados que la utilizan AWS fuente gestionada. Esto significa que sus controles personalizados recopilan pruebas comparándolas con las definiciones más recientes de esa fuente de pruebas. Esto le ayuda a garantizar el cumplimiento continuo a medida que cambia el entorno de cumplimiento de la nube.

Consulte también:customer managed source,evidence source.

Registros de cambios

Para cada control de una evaluación, Audit Manager realiza un seguimiento de la actividad del usuario para ese control. A continuación puede revisar un registro de auditoría de las actividades relacionadas con un control específico. Para obtener más información sobre las actividades de los usuarios que se incluyen en el registro de cambios, consulte. Pestaña del registro de cambios

Conformidad en la nube

La conformidad con la nube es el principio general según el cual los sistemas suministrados en la nube deben cumplir con los estándares que se aplican a los clientes de la nube.

Control común

Consulte control.

Regulación del cumplimiento

Los reglamentos de cumplimiento son leyes, normas órdenes de otro tipo prescritas por una autoridad, normalmente para regular una conducta. Un ejemplo esGDPR.

Estándares de conformidad

Los estándares de conformidad son un conjunto estructurado de directrices que detallan los procesos de una organización para mantener la conformidad con las normas, especificaciones o legislación establecidas. Los ejemplos incluyen PCI DSS yHIPAA.

Control

Los controles son salvaguardias o medidas que se prescriben para un sistema de información o una organización. Los controles están diseñados para proteger la confidencialidad, integridad y disponibilidad de su información, y para cumplir con un conjunto de requisitos definidos. Garantizan que sus recursos funcionan según lo previsto, que sus datos son fiables y que su organización cumple con las leyes y reglamentos aplicables.

En Audit Manager, los controles también pueden ser preguntas en un cuestionario de evaluación de riesgos para proveedores. En ese caso, se trata de una pregunta específica que solicita información sobre la postura de seguridad y cumplimiento de una organización.

Los controles recopilan evidencias de forma continua cuando están activos en sus evaluaciones de Audit Manager. También puede agregar evidencias de forma manual a cualquier control. Cada prueba es un registro que le ayuda a demostrar el cumplimiento de los requisitos del control.

Audit Manager proporciona los siguientes tipos de controles:

Tipo de control	Descripción
Control común	Puede pensar en un control común como una acción que le ayuda a cumplir un objetivo de control. Como los controles comunes no son específicos de ninguna norma de cumplimiento, le ayudan a recopilar pruebas que pueden respaldar una serie de obligaciones de cumplimiento que se superponen. Por ejemplo, supongamos que tenemos un objetivo de control denominado clasificación y manejo de datos. Para cumplir este objetivo, podría implementar un control común denominado controles de acceso para monitorear y detectar el acceso no autorizado a sus recursos. Los controles comunes automatizados recopilan pruebas por usted. Consisten en una agrupación de uno o más controles básicos relacionados. A su vez, cada uno de estos controles básicos recopila automáticamente las pruebas pertinentes de un grupo predefinido de AWS fuentes de datos. AWS administra estas fuentes de datos subyacentes por usted y las actualiza cada vez que cambian las normas y los estándares y se identifican nuevas fuentes de datos. Los controles manuales comunes requieren que cargue sus propias pruebas. Esto se debe a que, por lo general, requieren el suministro de registros físicos o detalles sobre eventos que ocurren fuera de su entorno AWS entorno. Por esta razón, a menudo no hay AWS fuentes de datos que puedan aportar pruebas que respalden los requisitos del control común manual. No se puede editar un control común. Sin embargo, puede usar cualquier control común como fuente de evidencia al crear un control personalizado.
Control central	Esta es una guía prescriptiva para su AWS entorno. Puede pensar en un control central como una acción que le ayuda a cumplir los requisitos de un control común. Por ejemplo, supongamos que utiliza un control común denominado controles de acceso para supervisar el acceso no autorizado a sus recursos. Para respaldar este control común, puede utilizar el control principal denominado Bloquear el acceso público de lectura en los buckets de S3. Como los controles principales no son específicos de ninguna norma de cumplimiento, recopilan pruebas que pueden respaldar una serie de obligaciones de cumplimiento que se superponen. Cada control principal utiliza una o más fuentes de datos para recopilar pruebas sobre un tema específico Servicio de AWS. AWS administra estas fuentes de datos subyacentes por usted y las actualiza cada vez que cambian las normas y los estándares y se identifican nuevas fuentes de datos. No puede editar un control principal. Sin embargo, puede utilizar cualquier control principal como fuente de pruebas al crear un control personalizado.
Control estándar	Se trata de un control prediseñado que proporciona Audit Manager. Puede utilizar los controles estándar como ayuda en la preparación de la auditoría para una norma de cumplimiento específica. Cada control estándar está relacionado con un estándar específico framework de Audit Manager y recopila pruebas que puede utilizar para demostrar el cumplimiento de ese marco. Los controles estándar recopilan pruebas de las fuentes de datos subyacentes que AWS gestiona. Estas fuentes de datos se actualizan automáticamente cada vez que cambian las normas y los estándares y se identifican nuevas fuentes de datos. No se pueden editar los controles estándar. Sin embargo, puede hacer una copia editable de cualquier control estándar.
Control personalizado	Se trata de un control que se crea en Audit Manager para cumplir con sus requisitos de conformidad específicos. Puede crear un control personalizado desde cero o hacer una copia editable de un control estándar existente. Al crear un control personalizado, puede definir evidence source s específicos que determinen de dónde recopila Audit Manager las pruebas. Tras crear un control personalizado, puede editarlo o añadirlo a un marco personalizado. También puede hacer una copia editable de cualquier control personalizado.

Dominio de control

Puede pensar en un dominio de control como una categoría de controles que no es específica de ninguna norma de cumplimiento. Un ejemplo de dominio de control es la protección de datos.

Los controles suelen agruparse por dominio con fines organizativos sencillos. Cada dominio tiene varios objetivos.

Las agrupaciones de dominios de control son una de las funciones más potentes del panel de control de Audit Manager. Audit Manager destaca los controles de sus evaluaciones que contienen evidencias no conformes y los agrupa por dominio de control. Esto le permite centrar sus esfuerzos de remediación en ámbitos temáticos específicos mientras se prepara para una auditoría.

Objetivo de control

Un objetivo de control describe el objetivo de los controles comunes que están por debajo de él. Cada objetivo puede tener varios controles comunes. Si estos controles comunes se implementan correctamente, te ayudarán a cumplir el objetivo.

Cada objetivo de control pertenece a un dominio de control. Por ejemplo, el dominio de control de la protección de datos puede tener un objetivo de control denominado Clasificación y tratamiento de datos. Para respaldar este objetivo de control, podría utilizar un control común denominado controles de acceso para supervisar y detectar el acceso no autorizado a sus recursos.

Control básico

Consulte control.

Control personalizado

Consulte control.

Fuente gestionada por el cliente

Una fuente gestionada por el cliente es una fuente de evidencia que usted define.

Al crear un control personalizado en Audit Manager, puede usar esta opción para crear sus propias fuentes de datos individuales. Esto le da la flexibilidad de recopilar pruebas automatizadas a partir de un recurso específico de la empresa, como un recurso personalizado AWS Config regla. También puede utilizar esta opción si desea añadir pruebas manuales a su control personalizado.

Cuando utiliza fuentes gestionadas por el cliente, es responsable de mantener todas las fuentes de datos que cree.

Consulte también:AWS managed source,evidence source.

Origen de datos

Audit Manager utiliza fuentes de datos para recopilar pruebas para un control. Una fuente de datos tiene las siguientes propiedades:

Un tipo de fuente de datos define el tipo de fuente de datos del que Audit Manager recopila las pruebas.
- En el caso de las pruebas automatizadas, el tipo puede ser AWS Security Hub, AWS Config, AWS CloudTrail, o bien AWS APIllamadas.
- Si subes tus propias pruebas, el tipo es Manual.
- El Audit Manager API se refiere a un tipo de fuente de datos como sourceType.
Un mapeo de fuentes de datos es una palabra clave que indica de dónde se recopilan las pruebas para un tipo de fuente de datos determinado.
- Por ejemplo, podría ser el nombre de un CloudTrail evento o el nombre de un AWS Config regla.
- El Audit Manager API se refiere a un mapeo de fuentes de datos como sourceKeyword.
El nombre de una fuente de datos etiqueta la combinación de un tipo de fuente de datos y el mapeo.
- Para los controles estándar, Audit Manager proporciona un nombre por defecto.
- Para los controles personalizados, puede proporcionar su propio nombre.
- El Audit Manager API se refiere al nombre de una fuente de datos como sourceName.

Un único control puede tener varios tipos de orígenes de datos y diferentes asignaciones. Por ejemplo, un control podría recopilar pruebas de una combinación de tipos de fuentes de datos (como AWS Config y Security Hub). Otro control podría tener AWS Config como único tipo de fuente de datos, con múltiples AWS Config reglas como mapeos.

En la tabla siguiente se enumeran los tipos de origen de datos automatizados y se muestran ejemplos de algunas de las asignaciones correspondientes.

Data source type	Descripción	Ejemplo de asignación
AWS Security Hub	Utilice este tipo de origen de datos para capturar instantáneas del estado de seguridad de sus recursos. Audit Manager usa el nombre de un control de Security Hub como palabra clave de la asignación e informa del resultado del control de seguridad de dicha regla directamente desde Security Hub.	`EC2.1`
AWS Config	Utilice este tipo de origen de datos para capturar instantáneas del estado de seguridad de sus recursos. Audit Manager utiliza el nombre de un AWS Config regla como palabra clave de mapeo e informa el resultado de esa verificación de reglas directamente desde AWS Config.	`SNS_ENCRYPTED_KMS`
AWS CloudTrail	Utilice este tipo de origen de datos para realizar un seguimiento de la actividad de un usuario específica que sea necesaria en la auditoría. Audit Manager usa el nombre de un CloudTrail evento como palabra clave de mapeo y recopila la actividad del usuario relacionada de sus CloudTrail registros.	`CreateAccessKey`
AWS APIllamadas	Utilice este tipo de fuente de datos para tomar una instantánea de la configuración de sus recursos mediante una API llamada a una fuente específica Servicio de AWS. Audit Manager usa el nombre de la API llamada como palabra clave de mapeo y recopila la API respuesta.	`kms_ListKeys`

Delegados

Un delegado es un AWS Audit Manager usuario con permisos limitados. y suelen tener experiencia empresarial o técnica especializada. Estos conocimientos pueden estar relacionados, por ejemplos, con las políticas de retención de datos, los planes de formación, la infraestructura de red o la gestión de identidades. Los delegados ayudan a los responsables de la auditoría a revisar las evidencias recopiladas para comprobar si hay controles que estén dentro de su área de especialización. Pueden revisar los conjuntos de controles y las evidencias relacionadas con estos, añadir comentarios, cargar evidencias adicionales y actualizar el estado de cada una de las evaluaciones que les asigne para revisar.

Los responsables de las auditorías asignan conjuntos de controles específicos a los delegados, no a evaluaciones completas. En consecuencia, los delegados tienen acceso limitado a las evaluaciones. Para obtener instrucciones acerca de cómo delegar un conjunto de controles, consulte Delegaciones en AWS Audit Manager.

Evidencias

Las evidencias son registros que contienen la información necesaria para demostrar el cumplimiento de los requisitos de una evaluación. Las evidencias pueden ser, por ejemplo, las actividades de cambio invocadas por los usuarios o instantáneas de la configuración del sistema.

Hay dos tipos de evidencia principales en Audit Manager: las evidencias automatizadas y evidencias manuales.

Tipo de evidencia	Descripción
Evidencia automatizada	Esta es la evidencia que Audit Manager recopila automáticamente. Esto incluye las siguientes tres categorías de evidencias automatizadas: Verificación de conformidad: el resultado de una verificación de conformidad se captura de AWS Security Hub, AWS Config, o ambos. Algunos ejemplos de comprobaciones de conformidad son el resultado de una comprobación de seguridad de Security Hub para un PCI DSS control y un AWS Config evaluación de reglas para un HIPAA control. Para obtener más información, consulte Reglas de AWS Config con el apoyo de AWS Audit Manager y AWS Security Hub controles compatibles con AWS Audit Manager. Actividad del usuario: la actividad del usuario que cambia la configuración de un recurso se captura de CloudTrail los registros a medida que se produce esa actividad. Entre los ejemplos de actividades de los usuarios se incluyen una actualización de la tabla de rutas, un cambio en la configuración de la copia de seguridad de una RDS instancia de Amazon y un cambio en la política de cifrado de buckets de S3. Para obtener más información, consulte AWS CloudTrail nombres de eventos compatibles con AWS Audit Manager. Datos de configuración: se captura una instantánea de la configuración del recurso directamente desde un Servicio de AWS de forma diaria, semanal o mensual. Entre los ejemplos de instantáneas de configuración se incluyen una lista de rutas para una tabla de VPC enrutamiento, una configuración de respaldo de RDS instancias de Amazon y una política de cifrado de buckets de S3. Para obtener más información, consulte AWS Las llamadas a la API son compatibles con AWS Audit Manager.
Evidencia manual	Esta es la evidencia que usted mismo añade a Audit Manager. Hay tres maneras de añadir sus propias evidencias: Importar un archivo desde Amazon S3 Cargar un archivo desde el navegador Escribir el texto de respuesta a las preguntas de evaluación de riesgos. Para obtener más información, consulte Añadir pruebas manuales en AWS Audit Manager.

Tipo de evidencia

Descripción

Evidencia automatizada

Esta es la evidencia que Audit Manager recopila automáticamente. Esto incluye las siguientes tres categorías de evidencias automatizadas:

Verificación de conformidad: el resultado de una verificación de conformidad se captura de AWS Security Hub, AWS Config, o ambos.

Algunos ejemplos de comprobaciones de conformidad son el resultado de una comprobación de seguridad de Security Hub para un PCI DSS control y un AWS Config evaluación de reglas para un HIPAA control.

Para obtener más información, consulte Reglas de AWS Config con el apoyo de AWS Audit Manager y AWS Security Hub controles compatibles con AWS Audit Manager.
Actividad del usuario: la actividad del usuario que cambia la configuración de un recurso se captura de CloudTrail los registros a medida que se produce esa actividad.

Entre los ejemplos de actividades de los usuarios se incluyen una actualización de la tabla de rutas, un cambio en la configuración de la copia de seguridad de una RDS instancia de Amazon y un cambio en la política de cifrado de buckets de S3.

Para obtener más información, consulte AWS CloudTrail nombres de eventos compatibles con AWS Audit Manager.
Datos de configuración: se captura una instantánea de la configuración del recurso directamente desde un Servicio de AWS de forma diaria, semanal o mensual.

Entre los ejemplos de instantáneas de configuración se incluyen una lista de rutas para una tabla de VPC enrutamiento, una configuración de respaldo de RDS instancias de Amazon y una política de cifrado de buckets de S3.

Para obtener más información, consulte AWS Las llamadas a la API son compatibles con AWS Audit Manager.

Evidencia manual

Esta es la evidencia que usted mismo añade a Audit Manager. Hay tres maneras de añadir sus propias evidencias:

Importar un archivo desde Amazon S3
Cargar un archivo desde el navegador
Escribir el texto de respuesta a las preguntas de evaluación de riesgos.

Para obtener más información, consulte Añadir pruebas manuales en AWS Audit Manager.

La recopilación automática de evidencias comienza cuando se crea una evaluación. Se trata de un proceso continuo, durante el cual Audit Manager recopila evidencias a diferentes frecuencias según el tipo de evidencias y el origen de datos subyacente. Para obtener más información, consulte Entender cómo AWS Audit Manager recopila pruebas.

Para obtener instrucciones acerca de cómo revisar las evidencias de una evaluación, consulte Revisión de la evidencia en AWS Audit Manager.

Fuente de evidencia

Una fuente de evidencia define el lugar de donde un control recopila la evidencia. Puede ser una fuente de datos individual o una agrupación predefinida de fuentes de datos que se asigna a un control común o a un control central.

Al crear un control personalizado, puede recopilar pruebas en AWS fuentes gestionadas, fuentes gestionadas por los clientes o ambas.

sugerencia

Le recomendamos que utilice AWS fuentes gestionadas. Siempre que un AWS se actualiza una fuente gestionada, las mismas actualizaciones se aplican automáticamente a todos los controles personalizados que utilizan estas fuentes. Esto significa que sus controles personalizados siempre recopilan pruebas comparándolas con las definiciones más recientes de esa fuente de pruebas. Esto le ayuda a garantizar el cumplimiento continuo a medida que cambia el entorno de cumplimiento de la nube.

Consulte también:AWS managed source,customer managed source.

Métodos de recopilación de evidencias

Las evaluaciones pueden recopilar evidencias de dos maneras distintas.

Métodos de recopilación de evidencias	Descripción
Automatizado	Los controles automatizados recopilan automáticamente pruebas de AWS fuentes de datos. Las evidencias automatizadas pueden ayudarle a demostrar el cumplimiento total o parcial de las evaluaciones.
Manual	Los controles manuales requieren que cargue sus propias pruebas para demostrar el cumplimiento del control.

nota

Puede agregar evidencias manuales a cualquier evaluación automatizada. En muchos casos, es necesaria una combinación de evidencias automatizadas y manuales para demostrar el pleno cumplimiento de una evaluación. Si bien Audit Manager puede proporcionar evidencias automatizadas útiles y relevantes, es posible que algunas de ellas solo demuestren un cumplimiento parcial. En este caso, puede complementar las evidencias automatizadas de proporciona Audit Manager con sus propias evidencias.

Por ejemplo:

AWS marco generativo de mejores prácticas de IA v2Contiene un control llamadoError analysis. Deberá identificar cuándo se detectan imprecisiones en el uso del modelo y realizar un análisis exhaustivo de los errores para comprender las causas de los mismos y tomar las medidas correctivas apropiadas.
Para respaldar este control, Audit Manager recopila pruebas automatizadas que muestran si CloudWatch las alarmas están habilitadas para el Cuenta de AWS dónde se ejecuta su evaluación. Puede utilizar estas evidencias para demostrar el cumplimiento parcial de la evaluación comprobando que sus alarmas y comprobaciones están configuradas correctamente.
Para demostrar el pleno cumplimiento, puede complementar las evidencias automatizadas con evidencias manuales. Por ejemplo, puede subir una política o un procedimiento que muestre su proceso de análisis de errores, sus umbrales de escalado y generación de informes, y los resultados del análisis de la causa principal. Puede utilizar las evidencias de este manual para demostrar que hay políticas establecidas y que se tomaron medidas correctivas cuando se le solicitó.

Para ver un ejemplo más detallado, consulte Controles con orígenes de datos mixtos.

Destinos de exportación

Los destinos de exportación son los buckets S3 predeterminados, donde Audit Manager guarda los archivos que exporta desde el buscador de evidencias. Para obtener más información, consulte Configurar el destino de exportación predeterminado para el buscador de evidencias.

Marcos

Un marco de Audit Manager estructura y automatiza las evaluaciones según un estándar o principio de gobierno de riesgos específico. Estos marcos incluyen un conjunto de controles prediseñados o definidos por el cliente, y le ayudan a mapear sus AWS recursos para cumplir con los requisitos de estos controles.

Hay dos tipos de marco en Audit Manager.

Tipo de marco	Descripción
Marco estándar	Se trata de un marco prediseñado que se basa en AWS mejores prácticas para diversas normas y reglamentos de cumplimiento. Puede utilizar marcos estándar para ayudar a preparar la auditoría para una norma o reglamento de cumplimiento específico, como PCI DSS oHIPAA.
Marco personalizado	Se trata de un marco personalizado que usted define como usuario de Audit Manager. Puede utilizar marcos personalizados para ayudarlo a preparar la auditoría de acuerdo con sus GRC requisitos específicos.

Tipo de marco

Descripción

Marco estándar

Se trata de un marco prediseñado que se basa en AWS mejores prácticas para diversas normas y reglamentos de cumplimiento.

Puede utilizar marcos estándar para ayudar a preparar la auditoría para una norma o reglamento de cumplimiento específico, como PCI DSS oHIPAA.

Marco personalizado

Se trata de un marco personalizado que usted define como usuario de Audit Manager.

Puede utilizar marcos personalizados para ayudarlo a preparar la auditoría de acuerdo con sus GRC requisitos específicos.

Para obtener instrucciones acerca de cómo crear y administrar marcos, consulte Uso de la biblioteca de marcos para administrar marcos en AWS Audit Manager.

nota

AWS Audit Manager ayuda a recopilar pruebas relevantes para verificar el cumplimiento de normas y reglamentos de cumplimiento específicos. Sin embargo, no evalúa el cumplimiento en sí mismo. Las pruebas que se recopilan mediante AWS Audit Manager por lo tanto, es posible que no incluya toda la información sobre su AWS uso necesario para las auditorías. AWS Audit Manager no sustituye a los asesores legales ni a los expertos en cumplimiento.

Uso compartido de marcos

Puede utilizar la Compartir un marco personalizado en AWS Audit Manager función para compartir rápidamente sus marcos personalizados entre Cuentas de AWS y regiones. Para compartir un marco personalizado, debe crear una solicitud de uso compartido. El destinatario dispondrá entonces de 120 días para aceptar o rechazar la solicitud. Una vez aceptada, Audit Manager replicará el marco de trabajo personalizado compartido en su biblioteca de marcos. Además de replicar el marco de trabajo personalizado, Audit Manager también replicará todos los conjuntos de controles personalizados y los controles que formen parte de ese marco. Posteriormente, dichos controles personalizados se agregan a la biblioteca de controles del destinatario. Audit Manager no replica los marcos o controles estándar. Esto se debe a que estos recursos ya están disponibles de forma predeterminada en cada cuenta y región.

Recursos

Los recursos son activos físico o de información que se evalúan en una auditoría. Ejemplos de AWS los recursos incluyen EC2 instancias de Amazon, RDS instancias de Amazon, buckets de Amazon S3 y VPC subredes de Amazon.

Evaluación de recursos

Las evaluaciones de recursos son los procesos mediante los cuales se evalúa un recurso. y se basan en requisitos de control. Mientras una evaluación está activa, Audit Manager evalúa cada uno de los recursos que forman parte de la evaluación. Las evaluaciones de recursos ejecutan las tareas siguientes:

Recopilación de evidencias, incluidas las configuraciones de los recursos, los registros de eventos y los hallazgos
Traducción y asignación de las evidencias a los controles
Almacenamiento y rastreo del linaje de las evidencias para garantizar su integridad.

Conformidad de los recursos

El cumplimiento de los recursos se refiere al estado de evaluación de un recurso que se evaluó al recopilar las evidencias de verificación de cumplimiento.

Audit Manager recopila evidencia de verificación de cumplimiento para los controles que utilizan AWS Config y Security Hub como tipo de fuente de datos. Es posible que se evalúen varios recursos durante la recopilación de evidencias. En consecuencia, una sola evidencia de verificación de conformidad puede incluir uno o más recursos.

Utilice el filtro de cumplimiento de los recursos del buscador de evidencias para conocer el estado de cumplimiento a nivel de recursos. Una vez completada la búsqueda, puede obtener una vista previa de los recursos que coinciden con su consulta de búsqueda.

En el buscador de evidencias, hay tres valores posibles que determinan el cumplimiento de los recursos:

Valor	Descripción
No cumple con las normas	Esto se refiere a los recursos con problemas de verificación de conformidad. Esto sucede si Security Hub informa de un resultado de error para el recurso, o si AWS Config informa de un resultado no conforme.
Cumple	Esto se refiere a los recursos que no tienen problemas de control de conformidad. Esto sucede si Security Hub informa de un resultado de pase para el recurso, o si AWS Config informa de un resultado compatible.
No concluyente	Esto se refiere a los recursos para los que no hay una verificación de cumplimiento disponible o no es aplicable. Esto sucede si AWS Config o Security Hub es el tipo de fuente de datos subyacente, pero esos servicios no están habilitados. Esto también ocurre si el tipo de fuente de datos subyacente no admite las comprobaciones de conformidad (como las pruebas manuales, AWS APIllamadas, o CloudTrail).

Valor

Descripción

No cumple con las normas

Esto se refiere a los recursos con problemas de verificación de conformidad.

Esto sucede si Security Hub informa de un resultado de error para el recurso, o si AWS Config informa de un resultado no conforme.

Cumple

Esto se refiere a los recursos que no tienen problemas de control de conformidad.

Esto sucede si Security Hub informa de un resultado de pase para el recurso, o si AWS Config informa de un resultado compatible.

No concluyente

Esto se refiere a los recursos para los que no hay una verificación de cumplimiento disponible o no es aplicable.

Esto sucede si AWS Config o Security Hub es el tipo de fuente de datos subyacente, pero esos servicios no están habilitados.

Esto también ocurre si el tipo de fuente de datos subyacente no admite las comprobaciones de conformidad (como las pruebas manuales, AWS APIllamadas, o CloudTrail).

Servicio incluido

Audit Manager gestiona qué Servicios de AWS están dentro del ámbito de sus evaluaciones. Si tiene una evaluación anterior, es posible que haya especificado manualmente los servicios incluidos en el ámbito de aplicación en el pasado. Después del 4 de junio de 2024, no podrás especificar ni editar manualmente los servicios incluidos en el ámbito de aplicación.

Un servicio incluido en el ámbito de aplicación es un Servicio de AWS sobre la que su evaluación recopila pruebas. Cuando se incluye un servicio en el ámbito de su evaluación, Audit Manager evalúa los recursos de ese servicio. como, por ejemplo los siguientes:

Una EC2 instancia de Amazon
Un bucket de S3
Un IAM usuario o un rol
Una tabla de DynamoDB
Un componente de red, como una tabla de Amazon Virtual Private Cloud (VPC), un grupo de seguridad o una lista de control de acceso a la red (ACL)

Por ejemplo, si Amazon S3 es un servicio dentro del ámbito de aplicación, Audit Manager puede recopilar pruebas sobre sus buckets de S3. La evidencia exacta que se recopila la determina un control. data source Por ejemplo, si el tipo de fuente de datos es AWS Config, y el mapeo de la fuente de datos es un AWS Config regla (comos3-bucket-public-write-prohibited), Audit Manager recopila el resultado de la evaluación de esa regla como evidencia.

nota

Tenga en cuenta que el alcance de un servicio es diferente al de un tipo de fuente de datos, que también puede ser un Servicio de AWS o alguna otra cosa. Para obtener más información, consulte ¿Cuál es la diferencia entre un servicio incluido y un tipo de origen de datos? la sección de solución de problemas de esta guía.

Control estándar

Consulte control.